Tiêu chuẩn Hệ thống Quản lý An ninh Thông tin đầu tiên áp dụng được ban hành bởi viện Tiêu Chuẩn Anh Quốc (BSI) với 2 phần chính:

Phần 1: là tiêu chuẩn BS 7799-1 là các quy tắc thực hành an ninh thông tin ban hành năm 1995, sửa đổi lần 1 vào năm 1999. Tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế mã hiệu ISO/ IEC 17799: 2000 và phát triển vào tháng 6/ 2005 thành tiêu chuẩn ISO/ IEC 17799: 2005. Đến tháng 11 Tiêu chuẩn này được sửa đổi thành ISO/IEC 27002: 2005: Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh thông tin(Information technology – Security techniques – Code of practice for infomation security management).

Nội dung ISO/IEC 17799:2005 nay là tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp cho an ninh thông tin và được chia thành 11 nhóm mục tiêu như sau:

· Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng dẫn về an ninh thông tin

· Tổ chức an ninh thông tin (Organization of information security): tổ chức biện pháp an ninh và qui trình quản lý.

· Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin

· An ninh tài nguyên con người (Human resource security) : bảo đảm an ninh

· An ninh vật lý và môi trường (Physical and environmental security)

· Quản lý vận hành và trao đổi thông tin (Communications and operations management)

· Kiểm soát truy cập (Access control)

· Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems acquisition, development and maintenance)

· Quản lý sự cố mất an ninh thông tin (Information security incident management)

· Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity management)

· Tuân thủ các quy định pháp luật (Compliance)

Phần 2: là tiêu chuẩn BS 7799-2 ban hành năm 1998 và được sửa đổi vào năm 1999 và được BSI tiếp tục điều chỉnh năm 2002 thành tiêu chuẩn BS 7799-2: 2002. Đến tháng 10/ 2005, tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế ISO/ IEC 27001: 2005: Công nghệ thông tin - Hệ thống quản lý an ninh thông(Information technology – Information Security Management System)

Tiêu chuẩn ISO/ IEC 27001: 2005 quy định các yêu cầu đối với một hệ thống quản lý an ninh thông tin và tương tự như ISO 9001 là một tiêu chuẩn về hệ thống quản quản lý và có thể được cấp giấy chứng nhận.

Tiêu chuẩn ISO/ IEC 27001: 2005 tương tự như ISO 9001 có thể áp dụng cho mọi lĩnh vực, không phân biệt quy mô, phạm vi áp dụng để hướng tới một Hệ thống Quản lý An ninh Thông tin một cách hiệu quả, đảm bảo an ninh thông tin phù hợp và đầy đủ để bảo vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách hàng…

Giới thiệu Bộ tiêu chuẩn quốc tế ISO/ IEC 27000 Hệ thống quản lý an ninh thông tin

Bên cạnh tiêu chuẩn ISO/ IEC 27001: 2005 và ISO/IEC 27002: 2005 , Những tiêu chuẩn của hệ thống quản lý an ninh thông tin đã được viện BSI cùng với tổ chức tiêu chuẩn hoá quốc tế biên soạn và ban hành nhằm hổ trợ các tổ chức thuộc mọi lĩnh vực, mọi quy mô, để áp dụng và vận hành hệ thống Quản lý An ninh Thông tin một cách hiệu quả. Bao gồm các tiêu chuẩn sau:

ISO/IEC 27000: 2009: Ban hành ngày năm 2009, tiêu đề “Công nghệ thông tin - Kỹ thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng(Information technology — Security techniques — Information security management systems — Overview and vocabulary.) - những định nghĩa của các điều khoản được sử dụng, thuật ngữ sử dụng trong Tiêu chuẩn ISO 27001.

ISO/ IEC 27001: 2005 ban hành năm 2005 “Công nghệ thông tin – Các phương pháp bảo mật – Hệ thống quản lý an ninh thông tin – Các yêu cầu” (“Information Technology – Security techniques – Information security management system – Requirements”) - những yêu cầu của hệ thống Quản lý An ninh Thông tin phù hợp với những tổ chức cần chứng minh khả năng cung cấp sản phẩm và dịch vụ đáp ứng yêu cầu của khách hàng và luật định.

ISO/IEC 27002:2005 ban hành ngày 15/06/2005 – “ Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an ninh thông tin” (Information technology – Security techniques – Code of practice for infomation security management)

ISO/IEC 27003: 2010 – “Công nghệ thông tin- Kỹ thuật an ninh- Hướng dẫn thực hiện Hệ thống quản lý an ninh thông tin(ISMS)” ( Information technology — Security techniques — Information security management system implementation guidance)

ISO/IEC 27004:2009 Công nghệ thông tin- Kỹ thuật an ninh- đo lường quản lý an ninh thông tin” (Information technology — Security techniques ― Information security management – Measurement)

ISO/IEC 27005:2008 ban hành năm 2008 “Công nghệ thông tin- Kỹ thuật an ninh- quản lý rủi ro an ninh thông tin”(Information technology — Security techniques — Information security risk management)

- Để áp dụng ISO / IEC 27005:2008 cần phải có Kiến thức về, khái niệm các mô hình, quy trình, thuật ngữ mô tả trong ISO / IEC 27001 và ISO / IEC 27002

- ISO / IEC 27005:2008 được áp dụng cho tất cả các loại của các tổ chức (ví dụ như các doanh nghiệp thương mại, các cơ quan chính phủ, phi lợi nhuận tổ chức) mà có ý định để quản lý rủi ro có thể thỏa hiệp bảo mật thông tin của tổ chức. "

ISO/IEC 27006:2007 Ban hành 2007 – Tiêu đề : “Công nghệ thông tin- Kỹ thuật an ninh- yêu cầu đối với công nhận của các tổ chức đánh giá và chứng nhận hệ thống an ninh thông tin”(Information technology — Security techniques — Requirements for the accreditation of bodies providing audit and certification of information security management systems).

ISO/IEC 27007 –Đang dự thảo. Tiêu đề dự thảo : “Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn đánh giá bảo mật hệ thống thông tin quản lý (FCD)(Information technology— Security techniques —Guidelines for information security management systems auditing (FCD)ISO/IEC TR 27008 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Bảo mật kỹ thuật - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an ninh thông tin” (Information technology — Security techniques — Guidelines for auditors on information security management systems controls)

ISO/IEC 27010 – Hiện đang dự thảo. Tiêu đề dự thảo: ‘Công nghệ thông tin - Kỹ thuật an ninh - an ninh thông tin quản lý cho truyền thông liên ngành và liên tổ chức(Information technology — Security techniques — Information security management for intersector and inter-organisational communications)

ISO/IEC 27011: 2008 ban hành 2008, tiêu đề “Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn quản lý an ninh thông tin cho các tổ chức viễn thông dựa trên tiêu chuẩn ISO / IEC 27002 (Information technology — Security techniques — Information security management guidelines for telecommunications organizations based on ISO/IEC 27002)

ISO/IEC 27013 – Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật an ninh - Hướng dẫn quản lý an ninh thông tin - Hướng dẫn thực hiện tích hợp áp dụng tiêu chuẩn ISO / IEC 20000-1 và ISO / IEC 27001” (Information technology — Security techniques — Guideline on the integrated implementation of ISO/IEC 20000-1 and ISO/IEC 27001)

ISO/IEC 27031: 2011: ban hành năm 2011, Tiêu đề: “Công nghệ thông tin - Kỹ thuật an ninh- Hướng dẫn liên tục kinh doanh hướng về công nghệ thông tin và truyền thông” (Information technology — Security techniques — Guidelines for information and communications technology readiness for business continuity )

ISO/IEC 27032 Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật an ninh–Hướng dẫn về an ninh mạng”(.Information technology — Security techniques — Guidelines for cybersecurity )

ISO/IEC 27033: Hiện đang dự thảo 2 phần, –“Công nghệ thông tin - Kỹ thuật an ninh - an ninh mạng”(Information technology — Security techniques — Network security ) sẽ thay thế Tiêu chuẩn ISO/IEC 18028 về an ninh mạng IT. Chia làm 2 phần:

o Phần 1- ISO / IEC 27033-1:2009: đã ban hành năm 2009 tiêu đề “tổng quan về bảo mật mạng và các khái niệm”( network security overview and concepts)

o Phần 2: ISO / IEC 27033-2 : Hiện đang đự thảo, tiêu đề dự thảo “Hướng dẫn thiết kế và thực hiện an ninh mạng”(Guidelines for the design and implementation of network security )

o Phần 3: ISO / IEC 27033-3 : Hiện đang đự thảo, tiêu đề dự thảo “tham khảo các kịch bản mạng - mối đe dọa, công nghệ thiết kế và vấn đề kiểm soát”(Reference networking scenarios - threats, design techniques and control issues)

o Phần 4: ISO / IEC 27033-4: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật thông tin liên lạc giữa các mạng bằng cách sử dụng các cổng an ninh - mối đe dọa, công nghệ thiết kế và vấn đề kiểm soát (Securing communications between networks using security gateways -- threats, design techniques and control issues)

o Phần 5: ISO / IEC 27033-5: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật mạng riêng ảo - mối đe dọa, công nghệ thiết kế và vấn đề kiểm soát”(Securing Virtual Private Networks -- threats, design techniques and control issues )

o Phần 6: ISO / IEC 27033-6: Hiện đang đự thảo, tiêu đề dự thảo. Mục tiêu: "để xác định những rủi ro cụ thể, thiết kế kỹ thuật và các vấn đề kiểm soát để bảo vệ và phát thanh mạng không dây

o Phần 7: ISO / IEC 27033-7 :Hiện đang đự thảo, tiêu đề dự thảo.Hướng dẫn bảo mật mạng không dây - Các rủi ro, các kỹ thuật thiết kế và vấn đề kiểm soát “Guidelines for securing wireless networking -- Risks, design techniques and control issues”

o Phần 8: ISO / IEC 27033-8 :Hiện đang đự thảo, tiêu đề dự thảo."Hướng dẫn bảo đảm an ninh - Những rủi ro, các công nghệ thiết kế và vấn đề kiểm soát (Guidelines for securing Risks, design techniques and control issues (possible additional parts)

ISO/IEC 27034 - Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an ninh– an ninh ứng dụng”.(Information technology — Security techniques — Application security )

ISO/IEC 27035 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an ninh-Quản lý xử cố an ninh thông tin”( Information technology — Security techniques — Information security incident management)sẽ thay thế ISO TR 18044 về quản lý sự cố an ninh

ISO/IEC 27036 Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an ninh-Bảo mật Thông tin cho các mối quan hệ nhà cung cấp”(IT Security — Security techniques — Information security for supplier relationships

ISO 27799:2008: ban hành 2008, “Thông tin y tế - Quản lý an ninh thông tin trong y tế sử dụng tiêu chuẩn ISO / IEC 27002” (Health informatics — Information security management in health using ISO/IEC 27002)

Tu van ISO 27000, Tư vấn ISO 27001 - Giới thiệu chung về Hệ thống quản lý An Ninh Thông Tin

Nhằm hỗ trợ thông tin cho khách hàng

thuận lợi khi sử dụng dịch vụ tư vấn và

đào tạo về Hệ thống Quản lý an ninh

theo tiêu chuẩn quốc tế ISO 27001:

2005 của VINTECOM,  chúng tôi giới

thiệu một số thông tin liên quan đến

nhóm các tiêu chuẩn liên quan đến Hệ

thống Quản lý an ninh thông tin.

I. Lịch sử hình thành các tiêu chuẩn

liên quan Hệ thống Quản lý An ninh Thông tin

Tiêu chuẩn Hệ thống Quản lý An ninh Thông tin đầu tiên áp dụng được ban hành bởi viện

Tiêu Chuẩn Anh Quốc (BSI) với 2 phần chính:

     Phần 1: là tiêu chuẩn BS 7799-1 là các quy tắc thực hành an ninh thông tin ban hành năm

1995, sửa đổi lần 1 vào năm 1999. Tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc

tế mã hiệu ISO/ IEC 17799: 2000 và phát triển vào tháng 6/ 2005 thành tiêu chuẩn ISO/

IEC 17799: 2005. Đến tháng 11 Tiêu chuẩn này được sửa đổi thành ISO/IEC 27002:

2005: Công nghệ thông tin - Các kỹ thuật an ninh - Quy tắc thực hành quản lý an

ninh thông tin(Information technology – Security techniques – Code of practice for

infomation security management).

Nội dung ISO/IEC 17799:2005 nay là tiêu chuẩn ISO 27002:2005 bao gồm 134 biện pháp

cho an ninh thông tin và được chia thành 11 nhóm mục tiêu như sau:

         Chính sách an ninh thông tin (Information security policy): chỉ thị và hướng

dẫn về an ninh thông tin

         Tổ chức an ninh thông tin (Organization of information security): tổ chức biện

pháp an ninh và qui trình quản lý.

         Quản lý tài sản (Asset management): trách nhiệm và phân loại giá trị thông tin

         An ninh tài nguyên con người (Human resource security) : bảo đảm an ninh

         An ninh vật lý và môi trường (Physical and environmental security)

    

         Quản lý vận hành và trao đổi thông tin (Communications and operations

management)

         Kiểm soát truy cập (Access control)

         Thu nhận, phát triển và bảo quản các hệ thống thông tin (Information systems

acquisition, development and maintenance)

         Quản lý sự cố mất an ninh thông tin (Information security incident

management)

         Quản lý duy trì khả năng tồn tại của doanh nghiệp (Business continuity

management)

         Tuân thủ các quy định pháp luật (Compliance)

     Phần 2: là tiêu chuẩn BS 7799-2 ban hành năm 1998 và được sửa đổi vào năm 1999 và

được BSI tiếp tục điều chỉnh năm 2002 thành tiêu chuẩn BS 7799-2: 2002. Đến tháng 10/

2005, tiêu chuẩn này được phát triển thành Tiêu chuẩn Quốc tế ISO/ IEC 27001: 2005:

Công nghệ thông tin - Hệ thống quản lý an ninh thông(Information technology –

Information Security Management System)

Tiêu chuẩn ISO/ IEC 27001: 2005 quy định các yêu cầu đối với một hệ thống quản lý an

ninh thông tin và tương tự như ISO 9001 là một tiêu chuẩn về hệ thống quản quản lý và có

thể được cấp giấy chứng nhận.

Tiêu chuẩn ISO/ IEC 27001: 2005 tương tự như ISO 9001 có thể áp dụng cho mọi lĩnh

vực, không phân biệt quy mô, phạm vi áp dụng để hướng tới một Hệ thống Quản lý An

ninh Thông tin một cách hiệu quả, đảm bảo an ninh thông tin phù hợp và đầy đủ để bảo

vệ các tài sản thông tin và đem lại sự tin tưởng của các bên liên quan như đối tác, khách

hàng…

II. Giới thiệu Bộ tiêu chuẩn quốc tế ISO/ IEC 27000 Hệ thống quản lý an ninh thông

tin

Bên cạnh tiêu chuẩn ISO/ IEC 27001: 2005 và ISO/IEC 27002: 2005 , Những tiêu chuẩn của

hệ thống quản lý an ninh thông tin đã được viện BSI cùng với tổ chức tiêu chuẩn hoá quốc tế

biên soạn và ban hành nhằm hổ trợ các tổ chức thuộc mọi lĩnh vực, mọi quy mô, để áp dụng

và vận hành hệ thống Quản lý An ninh Thông tin một cách hiệu quả. Bao gồm các tiêu chuẩn

sau:

     ISO/IEC 27000: 2009: Ban hành ngày năm 2009, tiêu đề “Công nghệ thông tin - Kỹ

thuật an ninh - Hệ thống quản lý an ninh thông tin - Tổng quan và từ vựng(Information

technology — Security techniques — Information security management systems —

Overview and vocabulary.)

Mục đích: đưa ra những định nghĩa của các điều khoản được sử dụng, thuật ngữ sử dụng

trong Tiêu chuẩn ISO 27001.

     ISO/ IEC 27001: 2005 ban hành năm 2005 “Công nghệ thông tin – Các phương pháp bảo

mật – Hệ thống quản lý an ninh thông tin – Các yêu cầu” (“Information Technology –

Security techniques – Information security management system – Requirements”)

Mục đích: đưa ra những yêu cầu của hệ thống Quản lý An ninh Thông tin phù hợp với

những tổ chức cần chứng minh khả năng cung cấp sản phẩm và dịch vụ đáp ứng yêu cầu

của khách hàng và luật định.

     ISO/IEC 27002:2005 ban hành ngày 15/06/2005 – “ Công nghệ thông tin - Các kỹ thuật

an ninh - Quy tắc thực hành quản lý an ninh thông tin” (Information technology – Security

techniques – Code of practice for infomation security management).

Mục đích: đưa ra quy tắc Thực hành An ninh Thông tin, đưa ra 134 biện pháp nhằm kiểm

soát chia làm 11 mục tiêu thực hành kiểm soát an ninh thông tin được chấp thuận rộng rãi.

     ISO/IEC 27003: 2010 – “Công nghệ thông tin- Kỹ thuật an ninh- Hướng dẫn thực hiện

Hệ thống quản lý an ninh thông tin(ISMS)” ( Information technology — Security

techniques — Information security management system implementation guidance)

Mục đích: đưa ra Hướng dẫn thực hiện Hệ thống quản lý an ninh thông tin(ISMS) theo

ISO/IEC 27001

     ISO/IEC 27004:2009 Công nghệ thông tin- Kỹ thuật an ninh- đo lường quản lý an ninh

thông tin” (Information technology — Security techniques ― Information security

management – Measurement)

Mục đích: đưa ra cách thức đo lường giúp cải tiến tính hiệu lực của Hệ thống quản lý an

ninh thông tin ISMS.

     ISO/IEC 27005:2008 ban hành năm 2008 “Công nghệ thông tin- Kỹ thuật an ninh- quản

lý rủi ro an ninh thông tin”(Information technology — Security techniques — Information

security risk management)

Mục đích ISO / IEC 27005:2008 hướng dẫn quản lý rủi ro an ninh thông tin, It supports

the general concepts specified in ISO/IEC 27001 and is designed to assist the satisfactory

implementation of information security based on a risk management approach. được thiết

kế nhằm hỗ trợ việc thực hiện an ninh thông tin trên cơ sở tiếp cận về quản lý rủi ro. Nó

hỗ trợ các khái niệm chung quy định trong ISO / IEC 27001, đưa ra các phương pháp

đánh giá định lượng và định tính rủi ro, về cơ bản đề xuất mà người sử dụng lựa chọn

phương pháp phù hợp, tốt nhất.

        Để áp dụng ISO / IEC 27005:2008 cần phải có Kiến thức về, khái niệm

các mô hình, quy trình, thuật ngữ mô tả trong ISO / IEC 27001 và ISO /

IEC 27002

        ISO / IEC 27005:2008 được áp dụng cho tất cả các loại của các tổ chức (ví

dụ như các doanh nghiệp thương mại, các cơ quan chính phủ, phi lợi nhuận

tổ chức) mà có ý định để quản lý rủi ro có thể thỏa hiệp bảo mật thông tin

của tổ chức. "

     ISO/IEC 27006:2007 Ban hành 2007 – Tiêu đề : “Công nghệ thông tin- Kỹ thuật an

ninh- yêu cầu đối với công nhận của các tổ chức đánh giá và chứng nhận hệ thống an ninh

thông tin”(Information technology — Security techniques — Requirements for the

accreditation of bodies providing audit and certification of information security

management systems).

Mục đích: Quy định các yêu cầu và đưa ra hướng dẫn chứng nhận hoặc đăng ký cho việc

công nhận Chứng chỉ HTQL ANTT hoặc công nhận Tổ chức Chứng nhận.cấp chứng chỉ

Hệ thống Quản lý ANTT (ISMS), bổ sung cho các yêu cầu của ISO/IEC 17021 và

ISO/IEC 27001, hỗ trợ việc công nhận các tổ chức chứng nhận ISMS.

     ISO/IEC 27007 –Đang dự thảo. Tiêu đề dự thảo : “Công nghệ thông tin - Kỹ thuật an

ninh - Hướng dẫn đánh giá bảo mật hệ thống thông tin quản lý (FCD)(Information

technology— Security techniques —Guidelines for information security management

systems auditing (FCD)

Mục đích: sẽ là tiêu chuẩn Hướng dẫn Đánh giá Hệ thống quản lý an ninh thông tin ISMS

     ISO/IEC TR 27008 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Bảo

mật kỹ thuật - Hướng dẫn chuyên gia đánh giá kiểm soát hệ thống an ninh thông tin”

(Information technology — Security techniques — Guidelines for auditors on information

security management systems controls)

Mục đích: sẽ đưa ra Hướng dẫn cho các chuyên gia đánh giá kiểm soát Hệ thống an ninh

thông tin

     ISO/IEC 27010 – Hiện đang dự thảo. Tiêu đề dự thảo: ‘Công nghệ thông tin - Kỹ thuật

an ninh - an ninh thông tin quản lý cho truyền thông liên ngành và liên tổ

chức(Information technology — Security techniques — Information security management

for intersector and inter-organisational communications)

      Mục đích: sẽ là Hướng dẫn Quản lý An ninh thông tin trong lĩnh vực viễn thông

     ISO/IEC 27011: 2008 ban hành 2008, tiêu đề “Công nghệ thông tin - Kỹ thuật an ninh -

Hướng dẫn quản lý an ninh thông tin cho các tổ chức viễn thông dựa trên tiêu chuẩn

ISO / IEC 27002 (Information technology — Security techniques — Information security

management guidelines for telecommunications organizations based on ISO/IEC 27002)

Mục đích: là hướng dẫn Quản lý an ninh thông tin về Viễn thông, nhằm hướng dẫn hỗ trợ

cho việc thực hiện quản lý an ninh thông tin đối với các tổ chức viễn thông. Việc áp dụng

tiêu chuẩn này cho phep các tổ chức viển thông đáp ứng các yêu cầu quản lý an ninh

thông tin

     ISO/IEC 27013 – Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật

an ninh - Hướng dẫn quản lý an ninh thông tin - Hướng dẫn thực hiện tích hợp áp dụng

tiêu chuẩn ISO / IEC 20000-1 và ISO / IEC 27001” (Information technology — Security

techniques — Guideline on the integrated implementation of ISO/IEC 20000-1 and

ISO/IEC 27001)

Mục đích: sẽ là Hướng dẫn áp dụng tích hợp tiêu chuẩn ISO / IEC 20000-1 và ISO / IEC

27001

     ISO/IEC 27031: 2011: ban hành năm 2011, Tiêu đề: “Công nghệ thông tin - Kỹ thuật an

ninh- Hướng dẫn liên tục kinh doanh hướng về công nghệ thông tin và truyền thông”

(Information technology — Security techniques — Guidelines for information and

communications technology readiness for business continuity )

Mục đích: là Tiêu chuẩn hướng dẫn liên tục kinh doanh hướng về Công nghệ thông tin

và truyền thông

     ISO/IEC 27032 Hiện đang dự thảo. Tiêu đề dự thảo: “Công nghệ thông tin - Kỹ thuật an

ninh–Hướng dẫn về an ninh mạng”(.Information technology — Security techniques —

Guidelines for cybersecurity )

Mục đích: sẽ cung cấp một tổng quan về các thách thức an ninh mạng, an ninh trong

"những không gian ảo",

     ISO/IEC 27033: Hiện đang dự thảo 2 phần, –“Công nghệ thông tin - Kỹ thuật an ninh -

an ninh mạng”(Information technology — Security techniques — Network security ) sẽ

thay thế Tiêu chuẩn ISO/IEC 18028 về an ninh mạng IT. Chia làm 2 phần:

o       Phần 1- ISO / IEC 27033-1:2009 : đã ban hành năm 2009 tiêu đề “tổng quan về

bảo mật mạng và các khái niệm”( network security overview and concepts)

o       Phần 2: ISO / IEC 27033-2 : Hiện đang đự thảo, tiêu đề dự thảo “Hướng

dẫn thiết kế và thực hiện an ninh mạng”(Guidelines for the design and

implementation of network security )

o       Phần 3: ISO / IEC 27033-3 : Hiện đang đự thảo, tiêu đề dự thảo “tham

khảo các kịch bản mạng - mối đe dọa, công nghệ thiết kế và vấn đề kiểm

soát”(Reference networking scenarios - threats, design techniques and

control issues)

o       Phần 4: ISO / IEC 27033-4: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật

thông tin liên lạc giữa các mạng bằng cách sử dụng các cổng an ninh - mối

đe dọa, công nghệ thiết kế và vấn đề kiểm soát (Securing communications

between networks using security gateways -- threats, design techniques and

control issues)

o       Phần 5: ISO / IEC 27033-5: Hiện đang đự thảo, tiêu đề dự thảo “Bảo mật

mạng riêng ảo - mối đe dọa, công nghệ thiết kế và vấn đề kiểm

soát”(Securing Virtual Private Networks -- threats, design techniques and

control issues )

o       Phần 6: ISO / IEC 27033-6: Hiện đang đự thảo, tiêu đề dự thảo. Mục tiêu:

"để xác định những rủi ro cụ thể, thiết kế kỹ thuật và các vấn đề kiểm soát

để bảo vệ và phát thanh mạng không dây

o       Phần 7: ISO / IEC 27033-7 :Hiện đang đự thảo, tiêu đề dự thảo.Hướng dẫn

bảo mật mạng không dây - Các rủi ro, các kỹ thuật thiết kế và vấn đề kiểm

soát “Guidelines for securing wireless networking -- Risks, design

techniques and control issues”

o       Phần 8: ISO / IEC 27033-8 :Hiện đang đự thảo, tiêu đề dự thảo."Hướng

dẫn bảo đảm an ninh - Những rủi ro, các công nghệ thiết kế và vấn đề

kiểm soát (Guidelines for securing  Risks, design techniques and control

issues (possible additional parts)

     ISO/IEC 27034 - Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật

an ninh– an ninh ứng dụng”.(Information technology — Security techniques —

Application security )

Mục đích: sẽ là các hướng dẫn về an ninh ứng dụng.

     ISO/IEC 27035 – Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an

ninh-Quản lý xử cố an ninh thông tin”( Information technology — Security techniques —

Information security incident management)sẽ thay thế ISO TR 18044 về quản lý sự cố an

ninh

     ISO/IEC 27036 Hiện đang dự thảo. Tiêu đề dự thảo “Công nghệ thông tin - Kỹ thuật an

ninh-Bảo mật Thông tin cho các mối quan hệ nhà cung cấp”(IT Security — Security

techniques — Information security for supplier relationships

     ISO 27799:2008: ban hành 2008, “Thông tin y tế - Quản lý an ninh thông tin trong y tế

sử dụng tiêu chuẩn ISO / IEC 27002” (Health informatics — Information security

management in health using ISO/IEC 27002)